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Les formulaires électroniques 
deviennent dynamiques 


> XML et le concept 
de client riche 
modifient la donne 
des formulaires 
électroniques. 

Ils sortent 

de leur statisme 

et deviennent 
adaptables. 
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© Trois logiciels sous licence et un service d'audit de vulnérabilités 
ont été testés sur une plate-forme hétérogène avec neuf systèmes 
d'exploitation serveurs et des équipements réseaux. La pertinence 

de l'identification des failles de sécurité et l'exhaustivité de l'inventaire 
placent en tête Qualys et son boîtier relié à un serveur en ligne. 


omment détecter et 

corriger les vulnéra- 

bilités et autres failles 

de sécurité rampantes 
qui mettent potentiellement 
en danger le réseau etles ser- 
veurs d'une entreprise ? Des 
outils spécialisés répondent 
à ce besoin en analysant les 
serveurs et les équipements 
de réseau qui leur sont sou- 
mis. Ils sont aussi censés four- 
nir une vue exhaustive, sous 
forme d'inventaire, des ver- 
sions de logiciels d'exploita- 
tion et des services (FTP et 
Telnet, par exemple) de l'in- 
frastructure qu'ils examinent 


via une connexion locale en 
Ethernet. Notre laboratoire 
a sélectionné quatre solutions. 
Trois d'entre elles sont consti- 
tuées de logiciels indépen- 
dants, commercialisés sous 
forme de licences : Retina 
Network Security Scanner, 
d'eEye Digital Security; 
Internet Scanner, d'Internet 
Security Systems (ISS) ; et 
l'ensemble Nessus et Light- 
ning Console, de Tenable Net- 
work Security. Le quatrième 
participant à ce banc d'essai 
est un service en ligne, Qua- 
lysGuard Intranet Scanner, 
de Qualys. Il est fourni avec 


> Trois logiciels 
d'analyse de 
vulnérabilités ont été 
passés au crible, 

ainsi que la solution de 
Qualys, vendue comme 
un service, couplant 

un boîtier à un serveur 
internet. Les quatre 
produits ont été testés 
dans un environnement 
composé de serveurs 
hétérogènes, 

avec neuf systèmes 
d'exploitation différents, et 
divers équipements 
réseaux. 

> Le service de Qualys 
domine tant par sa 


simplicité d'administration 
que par la quantité 

et la pertinence des 
informations remontées. 
»> eEye Digital Security 
et ISS proposent 

chacun un outil sous 
Windows. Les interfaces 
utilisateurs et les rapports 
d'audits, avec Retina, 

sont plutôt soignés. 

> Le logiciel de Tenable, 
sous Linux, s'est révélé le 
moins évident 

à installer. II offre 
cependant une bonne 
gestion des correctifs, 
palliant les vulnérabilités, 
avec leur suivi. 


un boîtier dédié à la détection 
des vulnérabilités, connecté 
en SSL via internet à un ser- 
veur distant. Les rapports sont 
mis en ligne sur un serveur de 
Qualys à l'issue des tests. 
Même si l'éditeur offre tou- 
tes les garanties de chiffre- 
ment des données, il faut 
néanmoins confier à un pres- 
tataire extérieur les données 
confidentielles (tel un rapport 
sur les vulnérabilités d'un 
réseau d'entreprise). 


Des audits 
programmables pour 

tous les produits 

À l’aune des cinq critères 
d'évaluation retenus, la solu- 
tion QualysGuard Intranet 
Scanner domine ses concur- 
rents logiciels autant par 
sa simplicité d'installation 
et d'administration que par 
la richesse fonctionnelle 
proposée et la quantité d'in- 
formations remontées. Nous 
émettons toutefois une ré- 
serve, qui tient à la nature 
même d'un tel service ex- 
ternalisé. Sur le plan mé- 
thodologique, nous avons 
supposé que le service fourni 
était un service standard. 
Les deux critères jugés les 
plus importants ont concerné, 
d'une part, la pertinence de 
l'audit des vulnérabilités 
détectées parles scanners, et, 


d'autre part, le degré d'ex- 
haustivité de l'inventaire des 
systèmes installés, de leurs 
systèmes d'exploitation et des 
services. Trois autres critères 
viennent en complément : 
rapports et alertes ; facilité 
d'emploi et sécurité ; et ges- 
tion des vulnérabilités. 

Pour évaluer la pertinence 
de l'audit des vulnérabilités, 
nous avons regardé comment 
se comportaient les quatre 
outils face aux failles de 
sécurité (vulnérabilités RPC, 
Sendmail, SNMP et FTP ou 
comptes insuffisamment ver- 
rouillés, par exemple) de la 
plate-forme de test compre- 
nant serveurs, systèmes d'ex- 
ploitation et équipements 
réseaux. QualysGuard obtient 
les meilleurs résultats dans 
la détection des vulnérabilités 
(lire le tableau p. 119). Il se 
distingue tout particulière- 
ment sur les failles d'admi- 
nistration SNMP des équipe- 
ments réseaux, qu'il s'agisse 
du commutateur 3Com ou du 
routeur Cisco Systems. Il 
obtient également les 
meilleurs résultats sur 
les failles RPC et sur les 
comptes insuffisamment ver- 
rouillés. Cette solution est 
toutefois non intrusive dans 
sa version actuelle, au sens 
où il n'était pas possible 
d'effectuer des attaques pour 
tester la vulnérabilité de 
l'infrastructure. 

Le scanner d'eEye Digital 
Security se distingue seule- 
ment par ses résultats de 
remontée de vulnérabilités 
sur le serveur Sun-Solaris. 
Celui d'ISS trouve bien les 
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Ce logiciel sous Windows a 
moyennement détecté les vul- 
nérabilités de la plate-forme de 


test. Il se distingue par la qua- 
lité de ses rapports d'audit. 


comparatif 


vice d'audit en ligne 
curité des serveurs et réseaux 


Ce scanner sous Windows a sur- 
tout détecté les vulnérabilités 
liées à... Windows, et non les 
autres. Il se différencie par sa 
simplicité de paramétrage. 


Fecommandé[agQ 


Basé sur un boîtier relié par inter- 
net à des serveurs distants, ce 
service en ligne se distingue par la 
pertinence de l'identification des 
systèmes et de leurs vulnérabilités. 


vulnérabilités Windows, mais 
plus difficilement celles des 
équipements de commutation 
et celles qui interviennent 
sous Solaris. Nessus a, lui 
aussi, eu du mal à détecter 
les failles des équipements 
réseaux. Il est à noter qu'au- 
cun outil n’a relevé de fausse 
vulnérabilité. Les réglages 
proposés sur tous les produits 
permettent une programma- 
tion temporelle pour plani- 
fier les audits. Il est possible 
de paramétrer une heure de 
fin de scan. Excepté Qualys, 
les constructeurs proposent 
un mode- optionnel- de tests 
agressifs (faisant réellement 
les attaques) pour s'assurer 
de la véracité des vulnéra- 
bilités trouvées. 


Une bonne détection des 
systèmes d'exploitation 
Linventaire du réseau a été 
évalué sur la base d'une plate- 
forme de tests hétérogène en 
termes de serveurs, de sys- 


tèmes d'exploitation (Linux, 
Solaris, Mac OS X, et Windows 
et ses différentes versions) 
et d'équipements réseaux 
(2 routeurs Cisco et un com- 
mutateur Ethernet 3Com). 
Chezles quatre fournisseurs, 
le scanner découvre toutes les 
machines installées sur notre 
plate-forme. Aucun, en revan- 
che, n'a identifié la sub- 


bon résultat (9 systèmes 
d'exploitation sur 13 ont été 
découverts). Il distingue mal 
Windows 2000 de Windows 
XP Il n'a pas identifié non plus 
un XP sur lequel un pare-feu 
filtrait le protocole ICMP ainsi 
que le second routeur. Quel 
que soit l'outil d'analyse, le 
Macintosh et le Solaris n'ont 


stitution d'une station > LE MACINTOSH 

par une autre lors- ET LE SOLARIS N'ONT PAS 

que l'adresse IP était ÉTÉ CONVENABLEMENT 

conservée. Seul Nes- z z 

sus, lors d'un nouveau DECELES, QUEL QUE SOIT 
L'OUTIL D'ANALYSE. 


scan, a détecté la nou- 
velle machine, mais il 
n'indique pas qu'il s'agit d'un 
changement de configuration. 
De façon générale, toutes les 
solutions détectent assez bien 
les treize systèmes d'exploi- 
tation de la plate-forme (y 
compris ceux qui sont embar- 
qués dans les équipements 
réseaux). QualysGuard Intra- 
net Scanner arrive en tête. 
C'est Nessus qui a le moins 


pas été décelés convenable- 
ment. Ainsi, Retina Network 
Security Scanner a identifié 
un HP-UX à la place de Mac 
OS X du G5 d'Apple, et Qua- 
lysGuard Intranet Scanner a 
reconnu la version 8 de Sola- 
ris au lieu de la version 5.8. 
Les solutions ont, en général, 
bien découvert les services 
usuels des systèmes. Un petit 


BANC D'ESSAI 


Seul logiciel fonctionnant sur 
Linux, ce scanner s'est montré 
meilleur dans l'identification des 
systèmes que dans la détection 
des vulnérabilités. 


bémol chez ISS, cependant, 
où les versions ne sont pas 
indiquées dans l'interface, 
mais dans le rapport. Notons 
que l'éditeur adapte ses audits 
selon le système d'exploita- 
tion et des ports, à condition 
de laisser activé le mode DCA 
(Dynamic check assignment). 
Qualys permet, quant à lui, de 
cartographier le réseau. 

Afin de corser les tests, 
notre laboratoire a dissimulé 
quatre services réseaux der- 
rière des ports inhabituels 
(HTTP derrière le port 12345, 
FTP derrière le port 1433 dédié 
à MS-SQL, Telnet derrière le 
port 21, et FTP derrière le port 
80). QualysGuard les a tous 
repérés. Nessus en reconnaît 
trois sur quatre. En revanche, 
Internet Scanner et Retina 
n'ont trouvé, respectivement, 
qu'un et deux services surles 
quatre dissimulés. En matière 
de rapports générés par les 
logiciels, le laboratoire n'en 
a considéré que deux :le rap- 
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> port exécutif peu technique, 
censé présenter la tendance 
du réseau au directeur du sys- 
tème d'information, et le rap- 
port technique fournissant à 
l'administrateur système le 
détail des vulnérabilités ren- 
contrées. Retina et Qualys- 
Guard affichent les meilleurs 
rapports exécutifs grâce aux 
graphiques proposés (camem- 
berts indiquant les niveaux 
de risques rencontrés, les vul- 
nérabilités les plus fréquen- 
tes et les machines les plus 
stratégiques). Chez Retina, les 
rapports sont axés par 
machine auditée et par 
groupe de fonctionnalité 
(audit, machine, port, service 
et partage), ce qui facilite la 
tâche de l'administrateur non 
spécialisé en sécurité. 


Des rapports d'activités 
envoyés directement 

à l'administrateur 

Sur QualysGuard, on re- 
marque aussi l'exhaustivité 
des informations remontées 
pour le rapport technique : 
description de la vulnérabi- 
lité, conséquence et solution 
détaillée. Chez ISS, en re- 
vanche, la présentation est 
bien faite, mais les rapports 
manquent de consistance. 
Chez Nessus, la présentation 
des rapports techniques est 
correcte, et les exposés des 
vulnérabilités et parades 


comparatif 


sont assez exhaustifs. Notons 
encore que Nessus et Retina 
permettent l'envoi d'alertes à 
l'administrateur système lors- 
qu'une machine vulnérable 
est détectée. Cette particu- 
larité apporte un plus, les 
analyseurs de vulnérabilités 
n'étant pas censés protéger 
en temps réel le réseau. 

Concernant la facilité d'em- 
ploi, la solution de Qualys 
apparaît comme la meilleure 
en termes de déploiement et 
d'administration. La configu- 
ration initiale du boîtier 
consiste à entrer son identi- 
fiant à partir de l'écran LCD 
et l'adresse IP Des rapports 
d'activités sont directement 
envoyés à l'administrateur. La 
solution de Tenable est per- 
fectible sur ce point. Son 
installation et son utilisation 
requièrent des notions avan- 
cées en informatique (malgré 
une bonne documentation !). 
Par contre l'exécution du pre- 
mier scan est plutôt simple. 
Pour faire fonctionner le 
scanner d'eEye Digital Secu- 
rity, il faut installer SQL 
2000, Windows 2000 SP3 et 
MSXML, puis tous les mo- 
dules, avant de les interfa- 
cer. L'exécution du premier 
scan, par défaut, est assez sim- 
ple. Il faut au préalable déter- 
miner les plages d'adresses 
IP etles règles souhaitées. Le 
premier scan, par défaut, du 


Avis de l'utilisateur 


FAILLES ET SERVICES CACHÉS SONT DÉTECTÉS INÉGALEMENT 


Informations 


sur les failles 


Security 
Scanner 


Identification de services 
réseaux dissimulés 


Telnet sur port 21 non 
FTP sur port 80 non 
Failles détectées 


W 98 SE : compte admin. oui 
sans mot de passe 


W 2000 : compte admin. oui 
sans mot de passe 


Cisco 1720 : login = cisco, non 
mot de passe = cisco 


3Com : login admin. non 
sans mot de passe 


Retina Network Internet QualysGuard Nessus + 


Scanner Intranet Lightning 
Scanner Console 
non oui oui 
non oui oui 
oui non non 
oui oui oui 
non oui non 
non oui non 


Tous les scanners ont identifié des informations sur les vulnérabilités propres aux machines 
en réseau de la plate-forme de test. Les résultats obtenus ont été comparés avec la 
configuration de chaque machine. Aucun outil n’a relevé de fausses vulnérabilités. 


produit d'ISS est aussi très 
simple. Il est possible de 
visualiser en temps réel les 
résultats du scan. En sécurité, 
Qualys propose le transfert 
sécurisé en SSL des données 
entre le boîtier et le serveur. 
Il en est de même pour l'en- 
voi des rapports à l'adminis- 
trateur, les mises à jour et le 
stockage des rapports. Nous 
avons aussi apprécié une ges- 
tion de comptes avec des 
droits limités. Chez Tenable, 
le stockage des résultats n'est 
pas sécurisé (mais on peut 
chiffrer la partition d'héber- 
gement de la base), et l'envoi 
sécurisé des rapports est 


optionnel. Nous avons tou- 
tefois prisé le cryptage SSL 
entre la console etle scanner, 
une gestion de comptes avec 
des droits limités, et la mise 
à jour en ligne sécurisée. Chez 
eEye Digital Security le scan- 
ner et la console sont sur la 
même machine. Il est donc 
inutile de sécuriser leurs 
échanges. Le seul reproche à 
lui faire est de ne pas avoir de 
compte d'administration. 
Chez ISS, les mises à jour en 
ligne sont sécurisées. Pour 
finir, la gestion des vulnéra- 
bilités a été examinée sur cha- 
cun des quatre outils. Tous 
(sauf Retina) s'avèrent com- 


« La détection de vulnérabilité apporte une certaine 
tranquillité d'esprit » 


» Laurent Muller, directeur général et directeur informatique du groupe Alban Muller 


Le groupe Alban Muller, qui fabrique des 
matières premières naturelles pour l'industrie 
cosmétique, a opté, depuis mars 2001, pour le 
service QualysGuard, de Qualys. La PME, qui 
dispose de trois sites, a choisi le service en 
mode externe, assuré, depuis un serveur 
Qualys, via une liaison IP permanente avec son 
site principal de Vincennes (94). Elle possède 
trois serveurs connectés en permanence 

à internet, tous situés à Vincennes. Le service 
est calibré pour quatre adresses IP. Quand on 


procède à des changements sur nos serveurs 
informatiques, nous lançons systématiquement 
un scan manuel. Cela nous assure une certaine 
tranquillité d'esprit. Sinon, la PME effectue un 
audit de vulnérabilité hebdomadaire, lancé en fin 
de semaine pour ne pas perturber l’activité 
informatique. Elle consulte le rapport de cette 
analyse sur le serveur de Qualys, via une liaison 
sécurisée SSL à 128 bits. Nous apprécions 

les préconisations de résolution des failles de 
sécurité incluses dans le service. 
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patibles avec les nomencla- 
tures CVE, Bugtraq ID et Cert, 
qui recensent les principa- 
les vulnérabilités. Le classe- 
ment des vulnérabilités est en 
revanche différent d'un édi- 
teur à l'autre. 


Des conseils pour pallier 
les vulnérabilités 
Qualys et ISS proposent de 
bonnes fonctions (tris variés, 
détails CVE et vulnérabilités 
les plus actives), mais eEye 
Digital Security doit revoir sa 
copie : la catégorie Miscena- 
leous (divers) est très (trop) 
remplie ! Si toutes les solu- 
tions proposent des recom- 
mandations pour pallier les 
vulnérabilités, seuls Qualys 
et Tenable permettent à l'ad- 
ministrateur une gestion des 
interventions et un suivi des 
correctifs. Chez Tenable, il est 
possible d'éditer des rapports 
avec une vue cumulative des 
anciens scans ; chez Qualys, 
un délai de correction et une 
échéance sont mentionnés. 
Le scanner Retina ne dispose 
pas d'outil de suivi de cor- 
rectifs, maïs cette fonction est 
disponible avec la solution 
complémentaire EVA (Enter- 
prise vulnerability assess- 
ment). Enfin, Nessus et 
Qualys proposent le contrôle 
centralisé de plusieurs scan- 
ners de même marque. E 
FRÉDÉRIC BERGÉ 


l LEXIQUE 


E Mode découverte : 

mode permettant au scanner 
d'établir la liste des stations, 
serveurs et équipements à partir 
d'un sous-réseau IP. 


E CVE (Common vulnerabilities 

and exposures) : liste standardisée 

de noms de vulnérabilités et autres 
failles de sécurité (www.cve.mitre.org). 
Il s'agit d'un dictionnaire plus 

que d’une base. La version publiée 

au moment de nos tests était 

la 20030402. 


Les quatre produits ont été évalués selon cinq critères. 


PERTINENCE DE L'AUDIT 

Nous avons repéré plusieurs vulnérabilités (failles de 
sécurité et mauvaises configurations), et avons regardé 
comment se comportaient les outils d'audit. Chacun 

des scanners a remonté des informations spécifiques aux 
systèmes d'exploitation, services et vulnérabilités propres 
aux machines de la plate-forme. Les résultats obtenus ont 
été comparés avec la configuration précise de chaque 
machine IP détectée et analysée par les logiciels. 


E INVENTAIRE ET DÉCOUVERTE 

La gestion d'inventaire consiste en la découverte des 
nœuds du réseau et la détectionidentification des 
systèmes d'exploitation et des services à la fois usuels 
et dissimulés. La détection d'une intrusion par 
substitution de poste a été testée. Afin de corser les 
tests, nous avons également dissimulé quatre services 
derrière des ports inhabituels (HTTP sur le port 12345, 
FTP sur le port 1433, Telnet sur le port 21 et FTP 

sur le port 80). La plate-forme était composée de 
serveurs sous systèmes d'exploitation Microsoft (98 SE, 
NT 4, 2000, 2000 Pro, XP, 2003), Linux Red Hat 9, 
Solaris 5.8 et Mac OS X (Apple G5). Ont été ajoutés 


COEFFICIENTS DE PONDÉRATION 


BANC D'ESSAI 
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un point d'accès radio 802.11b Cisco, deux routeurs 
Cisco (1720 et 1750) et un commutateur 3Com 
avec chacun un système d'exploitation différent. 


E RAPPORTS ET ALERTES 

Deux types de rapports ont été considérés. Le rapport 
exécutif — visé par le responsable d'exploitation —, qui 
n'est pas forcément technique. Et le rapport technique, 
qui énumère les vulnérabilités rencontrées. 


E FACILITÉ D'EMPLOI ET SÉCURITÉ 

La facilité de mise en place du produit a été jugée. 
Nécessitetelle des notions informatiques avancées ? 
Existe-til une aide en ligne, un manuel d'utilisation ? 
Les moyens utilisés pour sécuriser le système 
(chiffrement des informations stockées, ou comptes 
multiples d'administration) ont aussi été évalués. 


E GESTION DES VULNÉRABILITÉS 

Nous nous sommes intéressés à la classification 
des vulnérabilités, aux synchronisations possibles 
avec d'autres bases de données, 

et à la façon de gérer les correctifs. 


La note globale a été établie selon les coefficients de pondération suivants : pertinence de l'audit, 3 ; inventaire 
et découverte, 2,5 ; rapports et alertes, 2 ; facilité d'emploi et sécurité, 1,5 ; et gestion des vulnérabilités, 1. 


LA PLATE-FORME DE TEST 


Chiffrement en SSL 
Intêrnet = 
L 2 
QualysGuard 
Intranet Scanner 


Serveur hébergeant 
les logiciels en test 


Point d'accès 
radio Cisco 


Routeur à. S 
Cisco 1720 


NT 4 


PC sous 


a 
Routeur 2, © 
Cisco 1750 


# 


o go O 


PC sous 


Windows 2000 Pro 


Sous-réseau Ethernet 1 


Serveur sous d 
Linux Serveur sous 
Sun-Solaris 


PC sous 
Windows 2000 


Commutateur 
Say Ethernet 3Com 


PC sous 
PC sous Windows XP 


Windows 2003 
Sous-réseau Ethernet 2 


PC sous Windows Macintosh G5 


98 SE 


Sy 


Chaque solution (Retina Network Security Scanner, Internet Scanner, et Nessus avec Lightning Console) a été installée sur un serveur 
distinct. Le logiciel scanner et la console composant chaque solution ont été déployés sur le même serveur, 
pour ne piloter qu'un seul scanner à chaque fois. Après leur mise à jour, les logiciels ont été figés afin de les tester en l'état. 


Rappelons que QualysGuard Intranet Scanner est un service en ligne. 
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C LES PRINCIPALES CARACTÉRISTIQUES 


Version testée 


Prix (ht) 


Possibilité pour la console de piloter 
plusieurs scanners logiciels 


> Inventaire du réseau 
Fonctionnement du scanner via un routeur IP 


Possibilité d'importer une liste d'adresses IP 
issue d'un autre outil 


Détection d'un changement de machine 
(sans changement d'adresse IP) 


Mode découverte 
> Réglages possibles 
Politique de sélection des tests 


Possibilité de scanner plusieurs machines IP 
simultanément 


Possibilité de générer des attaques intrusives 


Possibilité de scanner de façon exhaustive et 
automatique des machines modifiées 


> Gestion des vulnérabilités 
Tableau de bord de suivi des interventions 
Préconisation de mises à jour 


Génération automatique d'un profil d'audit 
ciblé sur la vérification des corrections 


> Types de rapports 
Par type de machine 

Par système d'exploitation 
Par niveau de risque 


Format des fichiers de rapport 


> Déclenchement d'alertes 


Sur fréquence de vulnérabilité 


Sur vulnérabilité de machines stratégiques 


Alertes envoyées 
> Facilité d'emploi et sécurité 
Suivi en temps réel des audits 


Possibilité de programmer les audits 
dans le temps 


Chiffrement entre la console et le scanner 


Stockage sécurisé des résultats 
Envoi sécurisé des rapports 
Gestion de comptes avec droits limités 


Retina 4.9.153 


6 060 € (256 adresses) 


oui (avec module 
logiciel REM) 


oui (avec REM) 
Non communiqué 
non 


oui 

non 

non 
HTML et XML 


non 
oui 


oui (par e-mail) 


oui 


oui 


Scanner et console 
sur la même machine 


oui 
non 


oui (avec REM) 


7.0 2003 310 (XPU16) 


11 000 € (250 adresses) 


oui (avec module 
SiteProtector) 


non 
non 
oui 
PDF et RTF 


non 
non 


oui (avec SiteProtector) 


Scanner : 1.14.53:1 ; 
signature : 1.6.107-3 


40 000 €/an (250 adresses) 
Non applicable 


oui 


oui 


non (prévu en juin 2004) 


oui 


oui 
oui 
oui 
HTML, XML, MHT et PDF 


oui 
oui (par téléchargement) 


oui 


Nessus 2.0.9 et Lightning 
Console 2.0.3 


7996 € (255 adresses) 


oui 


oui 


Non constaté 


oui (via filtre Asset) 

oui (via filtre Asset) 
oui 

PDF et HTML zippé 


non 
oui 


oui (par e-mail) 


non 


oui 


oui (via SSL) 


non 
oui (en option) 


oui 
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C LA SYNTHÈSE PRODUIT PAR PRODUIT 


comparatif 


BANC D'ESSAI 


INTERFACE SOIGNÉE 
ET BONS RAPPORTS 


PERTINENT SURTOUT 
EN WINDOWS 


Recommantë ARQ, 
OT Reseaux 


AUDIT PERTINENT, 
INVENTAIRE COMPLET 


UN BON OUTIL ISSU 
DE L'OPEN SOURCE 


Ce logiciel fonctionne sous Windows 
2000 et SQL 2000, qu'il faut 
préalablement installer. Il convient 
ensuite de mettre en place tous les 
modules, et de les interfacer. Il faut 
alors créer la base de mesure via un 
script. Retina Network Security 
Scanner est capable de détecter 

et d'identifier des systèmes 
d'exploitation autres que Windows, 
comme Unix ou Linux, ainsi que des 
équipements de réseau, routeurs 
ou commutateurs. Notre laboratoire 
a testé la version 4.9.153. 

Le scanner et la console sont sur 

le même serveur, ce qui évite de 
sécuriser les échanges de données 
entre eux. La licence logicielle est 
commercialisée pour une classe 
d'adresses IP. Le scanner 
fonctionne de pair avec plusieurs 
autres modules logiciels qui tiennent 
le rôle d'une console centralisée 

de visualisation et d'administration 
sous l'appellation unifiée REM. 


POINTS FORTS 
m Qualité de la présentation 
du rapport 
m Fonction de découverte 
m Possibilité de définir une 
politique d'audit 


POINTS FAIBLES 
m Gestion des correctifs via 
un module en option 
m Manque de finesse du 
classement des vulnérabilités 


Critères Notes sur 10 


Pertinence de l'audit 


Inventaire et découverte 


Rapports et alertes 


Facilité d'emploi et sécurité 


Gestion des vulnérabilités g 6 


Note globale pondérée e 


Le produit d'Internet Security 
Systems fonctionne sous 
Windows 2000 ou XP. La version 
testée par notre laboratoire 

est la 7.0. Elle repose sur une 
architecture de type client-serveur 
incluant scanner, console et base 
de données (SQL Server 2000 
avec MSDE fourni). La console 
déportée est gratuite, mais il faut 
penser à installer le scanner pour 
gérer la communication. 

ll est aussi possible d'intégrer 

un module logiciel gratuit, 
SiteProtector, qui n'a pas été 
testé. Celui-ci permet de gérer 

de façon centralisée plusieurs 
solutions de l'éditeur, 

et de bénéficier d’une interface 
de console plus récente avec des 
possibilités avancées de 
reporting. La tarification de la 
licence s'effectue selon le nombre 
de machines à scanner. 


POINTS FORTS 
m Visualisation des résultats 
du scan en temps réel 
m Rapports bien présentés 
m Possibilité d'activer des 
tests intrusifs 


POINTS FAIBLES 
m Résultats stockés dans la 
base non chiffrés par défaut 
m Pauvreté des détails 


Cette solution repose sur un 
boîtier installé dans l’entreprise 

et connecté sur le réseau local 

à surveiller. Sa commercialisation 
s'effectue sous la forme d'un 
service sans acquisition de licence 
logicielle. Le boîtier est relié en IP 
à travers internet avec un service 
distant hébergé et géré par 
Qualys. Entièrement propriétaire, 
il repose sur un noyau logiciel 
Linux Red Hat renforcé, avec un 
disque dur dont les données sont 
chiffrées. Il communique 
exclusivement via le port 443 
(utilisé par SSL) vers le service 

en ligne distant de Qualys. 
QualysGuard Intranet Scanner 
cible la détection de routeurs, 

de commutateurs, de pare-feu, 
de serveurs web, NT et Unix, 

ou d'imprimantes. Sa tarification 
se décline, outre le prix du boîtier, 
en fonction du nombre d'adresses 
scannées, mais pour un nombre 
ilimité de scans. 


POINTS FORTS 
E Inventaire très détaillé 
m Cartographie du réseau 
m Gestion des interventions, 
et suivi des correctifs 


POINTS FAIBLES 
m Absence de test intrusif 
sur la version testée 
m Absence de mode 


Couplé au logiciel d'administration 
Lightning Console, qui fonctionne 
sous Linux Red Hat ou Mac OS X, 
le logiciel de scan Nessus est 

issu du monde de l'open source. 

Il fonctionne avec Linux et, 

de préférence, Red Hat. Lightning 
Console a été installé sur 

Red Hat 9. Des notions en 
informatique sont indispensables, 
même si la documentation 

est fournie. L'interface utilisateur, 
bien que graphique, est peu 
synthétique, et il n'y a pas d'aide en 
ligne, ni d'assistant logiciel. 

I n'y a pas non plus de mode 
découverte : le premier scan va 
détecter la configuration de chaque 
machine du parc, et ajouter cet 
inventaire dans la base de données 
Nessus. Notez, enfin, qu'il existe un 
CD pour installer automatiquement 
les deux logiciels. 


POINTS FORTS 
m Gestion des interventions, 
et suivi des correctifs 
m Contrôle centralisé 
de plusieurs scanners 
m Envoi automatique 
de rapports 


POINTS FAIBLES 
m Déploiement peu 
ergonomique 
m Manque de suivi en temps 
réel du déroulement de l'audit 
m Absence de mode 


du rapport technique d'audit découverte découverte 
Critères Notes sur 10 Critères Notes sur 10 Critères Notes sur 10 
Pertinence de l'audit Pertinence de l'audit Pertinence de l'audit 
Inventaire et découverte A Inventaire et découverte Inventaire et découverte 
Rapports et alertes 4 Rapports et alertes Rapports et alertes 


Facilité d'emploi et sécurité | 67 


Facilité d'emploi et sécurité 


Facilité d'emploi et sécurité 


Gestion des vulnérabilités | 55 


Gestion des vulnérabilités 


Gestion des vulnérabilités 


Note globale pondérée 


Note globale pondérée 7,7 


Note globale pondérée 


Sansan 
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